Log4Shell sérülékenység elemzése (CVE-2021-44228)
A szóban forgó sérülékenység a Log4Shell, más néven CVE-2021-44228, amely egy kritikus, nulladik napi távoli kódfuttatási (Remote Code Execution – RCE) hiba az Apache Log4j nevű népszerű Java naplózó könyvtárban.
Hogyan működik?
A sérülékenység a Log4j JNDI (Java Naming and Directory Interface) funkciójában rejlik, amelyet Java alkalmazások keresési szolgáltatásokhoz használnak. Egy támadó speciálisan kialakított karakterláncot küldhet az érintett alkalmazásnak, amely JNDI lekérdezést indít, és ezáltal lehetővé válik tetszőleges kód végrehajtása a szerveren.
Kik érintettek?
Minden olyan alkalmazás vagy rendszer, amely Apache Log4j 2.0-beta9 és 2.15.0 közötti verziókat használ (2021. decemberi állapot szerint), potenciálisan sérülékeny. Az érintettek között szerepelnek többek között a következők:
- Struts2
- Cloudflare
- Minecraft
- Steam
- Apple iCloud
- és számos más nyílt forráskódú vagy vállalati szoftvercsomag
Enyhítési lépések
- Frissítés: Frissítsd a Log4j könyvtárat a legújabb biztonsági javítást tartalmazó verzióra (legalább 2.16.0 vagy újabb).
- JNDI letiltása: Ha a frissítés nem lehetséges, tiltsd le a JNDI lekérdezést a
log4j2.formatMsgNoLookups=truerendszerbeállítással, vagy módosítsd a Log4j konfigurációt a megfelelő direktívák hozzáadásával. - Naplózás figyelése: Kövesd figyelemmel a naplókat gyanús események után kutatva, például váratlan JNDI lekérdezések vagy ismeretlen kódfuttatások jelei.
- Webalkalmazás tűzfal (WAF): Alkalmazz WAF-ot a kihasználási minták blokkolására.
Hivatkozott források
- GitHub – Log4Shell (CVE-2021-44228)
- CISA által karbantartott Log4j érintett adatbázis
- Packet Storm Security – kapcsolódó cikkek és figyelmeztetések
- Nu11Sec blog – Log4Shell